Avis du contrôleur européen de la protection des données concernant la proposition modifiée de règlement du Parlement européen et du Conseil relatif à l'assistance administrative mutuelle aux fins de la protection des intérêts financiers de la Communauté contre la fraude et toute autre activité illégale

(2007/C 94/01)

LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,

vu le traité instituant la Communauté européenne, et notamment son article 286,

vu la Charte des droits fondamentaux de l'Union européenne, et notamment son article 8,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (1),

vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (2), et notamment son article 41,

vu la demande d'avis formulée par la Commission conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001, reçue le 19 septembre 2006;

A ADOPTÉ L'AVIS SUIVANT:

I.   INTRODUCTION

La proposition modifiée de règlement du Parlement européen et du Conseil relatif à l'assistance administrative mutuelle aux fins de la protection des intérêts financiers de la Communauté contre la fraude et toute autre activité illégale (ci-après dénommée «la proposition modifiée») définit les procédures de communication et d'assistance entre la Commission et les États membres afin de protéger les intérêts financiers de la Communauté. Ces procédures incluent l'assistance administrative mutuelle et l'échange d'informations. À cet égard, la proposition modifiée consacre le rôle de la Commission en tant que coordinateur et facilitateur des procédures susmentionnées, notamment par l'intermédiaire de l'Office européen de lutte antifraude (OLAF).

La Commission a soumis cette proposition au contrôleur européen de la protection des données (CEPD) pour avis, comme le prévoit l'article 28, paragraphe 2, du règlement (CE) no 45/2001 du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (ci-après dénommé «le règlement (CE) no 45/2001»). Auparavant, l'avis du CEPD avait également été sollicité au sujet de la première version de cette même proposition, telle que la Commission l'avait adoptée. Cette demande a conduit le CEPD à rendre, en octobre 2004, un premier avis sur la proposition de règlement adoptée par la Commission (3). La lettre émanant de la Commission, reçue le 19 septembre 2006, constitue par conséquent une nouvelle demande en vue d'obtenir un avis complémentaire sur la proposition modifiée, à laquelle le CEPD est heureux de répondre, compte tenu en particulier de ce que la proposition initiale a été modifiée au cours du processus législatif d'adoption. En effet, chaque fois que la Commission adopte une nouvelle proposition, elle est tenue de consulter le CEPD conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001.

II.   PRINCIPALES OBSERVATIONS

II.1.   Les questions relatives à la protection des données relèvent de la législation d'application

Dans le cadre de la définition des procédures administratives et de communication aux fins de la protection des intérêts financiers de la Communauté, la proposition modifiée ne comporte ni de nouvelles dispositions relatives à la protection des données ni d'exceptions au cadre législatif en vigueur en matière de protection des données, à savoir la directive 95/46/CE et le règlement (CE) no 45/2001. En revanche, la proposition modifiée confirme l'application d'une telle législation et, dans certains domaines, prévoit des règlements d'application qui traiteront des questions relatives à la protection des données.

Le CEPD estime qu'à cet égard une telle approche est satisfaisante dans la mesure où elle préserve les normes de protection des données énoncées dans la directive 95/46/CE et le règlement (CE) no 45/2001 dans le cadre des procédures administratives et de communication, y compris en ce qui concerne l'échange d'informations prévu par la proposition modifiée. Le CEPD aurait eu des motifs d'inquiétude si ces normes avaient été abaissées.

Le CEPD est en même temps conscient qu'avec une telle approche le véritable débat sur les questions de protection des données est reporté à plus tard, c'est-à-dire au moment de l'élaboration des règlements d'application. C'est pourquoi le CEPD indique que, lors de l'élaboration de la législation d'application, il conviendra de prendre attentivement en compte la protection des données à caractère personnel dans le cadre de la définition de procédures administratives et de communication. Le CEPD se félicite donc que la proposition modifiée prévoie l'obligation de le consulter lors de l'élaboration d'une telle législation, en particulier en ce qui concerne l'accès de la Commission aux données relatives à la taxe sur la valeur ajoutée stockées dans les États membres, en vertu de l'article 11 de la proposition modifiée, la communication d'informations relatives aux opérations ou transactions dans le cas de l'assistance spontanée en vertu de l'article 12, paragraphe 4, ainsi que l'échange d'informations et l'assistance mutuelle concernant d'autres irrégularités, en vertu de l'article 23 de la proposition modifiée. En réalité, il est nécessaire de consulter le CEPD non seulement au sujet des propositions législatives conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001, mais également en ce qui concerne les mesures administratives de nature similaire relatives au traitement de données à caractère personnel impliquant une institution ou un organe communautaire, seuls ou conjointement avec d'autres comme le prévoit l'article 28, paragraphe 1, du règlement (CE) no 45/2001.

II.2.   Incidence sur la protection des données à caractère personnel: clarification de l'article 17, paragraphe 1

Si la proposition modifiée présentée ci dessus ne comporte pas de nouvelles règles relatives à la protection des données à caractère personnel dans le cadre de l'échange d'informations qu'elle prévoit, certains de ses articles ont sur la protection des données une incidence indirecte, qui semblerait positive dans les cas suivants. Ainsi, l'obligation qui incombe aux États membres de désigner les autorités compétentes aux fins du règlement et d'en informer la Commission peut contribuer à limiter l'échange d'informations aux seules autorités compétentes et non à d'autres. Le CEPD note également avec satisfaction que les demandes d'assistance et d'information doivent s'accompagner d'un bref exposé des faits connus de l'autorité requérante, car cela peut contribuer à restreindre le volume des données nécessaires pour répondre aux besoins d'informations.

En revanche, le CEPD constate que, dans un cas au moins, la proposition modifiée comporte une disposition pouvant avoir une incidence négative sur la protection des données à caractère personnel. Il s'agit de l'article 17 de la proposition modifiée, ancien article 18 de la proposition telle qu'adoptée par la Commission. Au point 4 de l'avis de 2004 du CEPD, il est indiqué que l'article 18, paragraphe 1, second alinéa, ne doit pas affecter le droit des personnes concernées d'avoir accès aux données à caractère personnel les concernant. Le CEPD part du principe que c'est bien l'intention du législateur, mais cela ne ressort pas clairement du libellé actuel. C'est pourquoi le CEPD suggère d'ajouter à la fin de l'article 17, paragraphe 1, second alinéa, la phrase suivante: «Cela n'affecte pas le droit des personnes concernées d'avoir accès aux données à caractère personnel les concernant, conformément à la directive 95/46/CE et au règlement (CE) no 45/2001».

II.3.   Proposition de nouveau libellé

Le CEPD constate avec satisfaction que la proposition modifiée tient compte de certaines des observations qu'il a formulées dans son avis de 2004. Ainsi, eu égard au caractère obligatoire de l'article 28, paragraphe 2, du règlement (CE) no 45/2001, le CEPD note avec satisfaction qu'il est explicitement fait mention de ce processus de consultation dans la proposition modifiée. Toutefois, le CEPD estime qu'il devrait en être fait mention dans le préambule de la proposition, à la suite de «vu l'avis de la Cour des comptes», comme cela a été fait dans la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) no 1073/1999 relatif aux enquêtes effectuées par l'OLAF. En outre, le CEPD suggère de remplacer le libellé actuel par la formule suivante «après consultation du contrôleur européen de la protection des données», conformément à la pratique habituelle.

III.   CONCLUSION

Le CEPD estime que, dans l'ensemble, la proposition modifiée préserve le niveau de protection des données à caractère personnel prévu dans la législation de l'UE en matière de protection des données, à savoir la directive 95/46/CE et le règlement (CE) no 45/2001.

Néanmoins, le CEPD note que la question de savoir si ces normes de protection des données seront effectivement maintenues dépendra de la teneur exacte de la législation d'application, à laquelle la proposition modifiée sert de base juridique. Étant donné que la législation d'application sera primordiale pour la protection des données à caractère personnel à cet égard, le CEPD se félicite tout particulièrement que la proposition modifiée prévoie l'obligation de le consulter lors de l'élaboration de cette législation d'application.

En résumé, outre la clarification de l'article 17, paragraphe 1, suggérée au point II.2. et la modification proposée au point II.3. conformément aux règles en vigueur en matière de consultation, le CEPD est satisfait du contenu de la proposition modifiée et ne juge pas nécessaire d'y apporter d'autres modifications.

(1)  JO L 281 du 23.11.1995, p. 31.

(2)  JO L 8 du 12.1.2001, p. 1.

(3)  JO C 301 du 7.12.2004, p. 4.